羅柱 肖偉 周佳

一、前言

隨著煙草行業(yè)市場化取向改革和高質(zhì)量發(fā)展如火如荼地推進，“互聯(lián)網(wǎng)+”的印記在中國煙草身上也越來越顯著，作為承擔(dān)和支撐各條戰(zhàn)線有序開展的信息化管理工作，也日益凸顯出其重要的作用和價值。然而，在行業(yè)核心應(yīng)用上移、數(shù)據(jù)前置管理的趨勢下，傳統(tǒng)架構(gòu)和管理模式已經(jīng)不能適應(yīng)未來煙草行業(yè)的發(fā)展需求?！霸啤辈渴鸬慕ㄔO(shè)方案被迅速提上議程，是完全依托“公有云”，還是完全自建“私有云”，亦或是“混合云”，但因為“安全”問題行業(yè)“云”方案多少仍受到質(zhì)疑。筆者將圍繞行業(yè)“云”建設(shè)現(xiàn)狀、剖析主流“云”安全方案特點，簡要分析如何滿足現(xiàn)有要求開展云環(huán)境安全建設(shè)。

二、現(xiàn)狀

數(shù)字煙草戰(zhàn)略和CT-155煙草行業(yè)信息發(fā)展規(guī)劃已經(jīng)清晰地指明了在未來一段時間內(nèi)，中國煙草行業(yè)信息化該如何部署和建設(shè)，特別是自2016年開始籌備的行業(yè)專賣管理與省級營銷兩大系統(tǒng)平臺，正逐步將全國各省級單位（含下屬企業(yè)）主營業(yè)務(wù)管理權(quán)限集中上交，由行業(yè)統(tǒng)一建設(shè)管理，省局承載前置環(huán)境，同時，對于各地市級公司而言，隨著核心業(yè)務(wù)系統(tǒng)的上移，扮演的角色也正由原來的系統(tǒng)承載單元轉(zhuǎn)變?yōu)閼?yīng)用訪問單元轉(zhuǎn)變。

（一）虛擬化技術(shù)的日趨成熟

以SDN（SoftDefinedNetwork，軟件定義網(wǎng)絡(luò)）為代表的虛擬化技術(shù)逐步滲透到商業(yè)應(yīng)用的各個環(huán)節(jié)，同時超大規(guī)模的集成芯片技術(shù)以及充足的網(wǎng)絡(luò)帶寬，已經(jīng)讓無論是計算資源虛擬化、網(wǎng)絡(luò)資源虛擬化、存儲資源虛擬化，還是安全資源虛擬化都可以任意的跨越地域和空間，能夠有效整合閑置的硬件資源，提高設(shè)備使用效率，降低投入和維護成本，這為“云”方案的落地提供更為可靠的解決手段和底層保障；

（二）良好的業(yè)務(wù)伸縮和敏捷發(fā)布特性

大規(guī)模的硬件支撐和數(shù)據(jù)保障，可以將業(yè)務(wù)集中管理、集中發(fā)布，實現(xiàn)數(shù)據(jù)流的標(biāo)準(zhǔn)化控制，有效避免“數(shù)據(jù)孤島”的形成，加強數(shù)據(jù)的深度融合及挖掘，為后續(xù)“大數(shù)據(jù)”應(yīng)用提供前提條件。同時，由于“云”的集中和標(biāo)準(zhǔn)特性，可以實現(xiàn)良好的業(yè)務(wù)伸縮，以及快速迭代和敏捷開發(fā)，保證了系統(tǒng)的延續(xù)，延長平臺的生命周期，壓縮建設(shè)成本和降低機會成本，如圖1所示。

也正是基于上述原因，“云”方案在煙草行業(yè)的落地是推進高質(zhì)量發(fā)展的最優(yōu)選項，“云”方案技術(shù)路線如圖2所示。但是，我們依然不能忽視“云”部署帶來的問題和難點。

目前，“云”安全關(guān)注度最高的十二個問題：包括數(shù)據(jù)泄露（業(yè)務(wù)數(shù)據(jù)、客戶信息）、多因子驗證（身份識別）失效、API接口劫持（第三方安全淪陷）、系統(tǒng)漏洞（虛擬機漏洞無法及時修復(fù)）、用戶賬戶劫持（獲得系統(tǒng)訪問控制權(quán)限）、內(nèi)部管理人員淪陷（內(nèi)部破壞）、APT（高級持續(xù)性威脅）攻擊、數(shù)據(jù)永久丟失（硬件故障、誤操作）、審計日志記錄缺失（無法支撐事故調(diào)查）、云服務(wù)資源濫用（性能調(diào)度缺陷）、拒絕服務(wù)（DDoS）攻擊、非安全共享。

除此之外，對于煙草行業(yè)“云”來說，還需要面臨：訪問并發(fā)量激增（內(nèi)部員工的集中訪問、跨越內(nèi)外網(wǎng)的應(yīng)用訪問、外部客戶應(yīng)用訪問）、原系統(tǒng)數(shù)據(jù)表結(jié)構(gòu)無法承載數(shù)據(jù)深度挖掘、地市級硬件資源閑置（造成浪費）、數(shù)據(jù)安全壓力過于集中（同城異備建設(shè)成本過高）等現(xiàn)實問題。

三、解決思路及安全方案

“云”概念的引入頗有中庸的意味，在企業(yè)組織架構(gòu)日趨扁平化的同時，企業(yè)對于數(shù)據(jù)的調(diào)用、存儲和共享，以及跨地域空間的應(yīng)用訪問和業(yè)務(wù)，也隨之進行了“改頭換面”式的變化。特別是，以業(yè)務(wù)為導(dǎo)向的煙草商業(yè)管理企業(yè)，在面向內(nèi)外部用戶、隨機用戶、突發(fā)訪問用戶以及“混合+異型”網(wǎng)絡(luò)架構(gòu)等新挑戰(zhàn)的時候，“云”安全問題（不再等同于傳統(tǒng)意義上的網(wǎng)絡(luò)問題）已經(jīng)不可忽視地擺在決策者面前。

但筆者發(fā)現(xiàn)，在“云”架構(gòu)眾多安全防護目標(biāo)中，最核心的防護對象仍然還是服務(wù)器負載本身（服務(wù)器硬件不再是關(guān)注的核心點）。簡單來說，無論是傳統(tǒng)意義的網(wǎng)絡(luò)安全管理，還是“云安全”防護，其核心就是保證應(yīng)用服務(wù)、數(shù)據(jù)服務(wù)以及配套的安全認證服務(wù)的有效、穩(wěn)定狀態(tài)，只不過傳統(tǒng)架構(gòu)中，服務(wù)器、安全設(shè)備以及用戶是實體、具象存在的，而“云”則變成了本地硬件服務(wù)器、虛擬服務(wù)器、跨區(qū)域的私有云、商業(yè)應(yīng)用公有云的組合和嵌套。因此，新架構(gòu)下的安全防護，應(yīng)當(dāng)由“安全的內(nèi)部網(wǎng)絡(luò)環(huán)境”向“安全的服務(wù)負載”轉(zhuǎn)變。

需要補充的是，硬件資源虛擬化或者“云”化（資源池化）最明顯的一個特點就是“邊界”正在消失，由于用戶的概念在不斷地深化、拓展，原來用戶只是應(yīng)用訪問者，現(xiàn)在拓展到某項資源的調(diào)用者，這也造成硬件的概念距離用戶端也越來越遠。所以聚焦“負載”，確?！柏撦d”的安全和穩(wěn)定是“云”環(huán)境下最核心的內(nèi)容。

按照應(yīng)用的分類，可以將“負載”分為物理機、虛擬機、容器和無服務(wù)器，在應(yīng)用顆粒度、承載單元、壽命（周期）存在一定差別，如圖3所示。

（一）“云”安全架構(gòu)

首先，煙草人要認識到“云”資源不等于海量資源，不可以肆意揮霍，所以，同樣需要按照“負載”的級別不同來實施相應(yīng)級別的安全保護，這里我們借鑒云工作負載保護架構(gòu)（CWPP）來進行說明。

用戶側(cè)的期望，僅對必要的流量進行專業(yè)的安全檢測（資源擠占最?。?，機房的各類設(shè)備（安全系統(tǒng)）可以自主、自動化聯(lián)動，實現(xiàn)復(fù)雜的攻擊檢測，并能夠針對檢測到的異常準(zhǔn)確的進行防護處置，以及可以不斷提高自身的檢測與防護精準(zhǔn)度等。

現(xiàn)實問題：按照節(jié)點數(shù)×雙向流量×2可以得出安全監(jiān)測需要消耗的網(wǎng)絡(luò)流量。比如，有100臺計算節(jié)點，兩臺設(shè)備之間流量為10G，那么安全監(jiān)測需要消耗2T的網(wǎng)絡(luò)流量，擠占了一筆不小的網(wǎng)絡(luò)資源。同時，關(guān)于異常流量的準(zhǔn)確識別，統(tǒng)計下遠低于5%，也就是說上述的計算節(jié)點安全監(jiān)測下消耗的資源將要放大20倍。

另一個現(xiàn)實的問題是：只有狼來了，才知道羊圈牢不牢固。類似APT高級別持續(xù)攻擊具有很強的隱蔽性，一旦發(fā)起攻擊將會是摧枯拉朽式的，單一的安全設(shè)備，單一的安全隊伍，很難進行有效應(yīng)對。

所以要依托大數(shù)據(jù)、深度學(xué)習(xí)以及人工智能技術(shù)實現(xiàn)安全管控的協(xié)同化、智能化。

“自適應(yīng)安全”（Adaptive Security）的防護模型包含：測（Predictive）、防御（Preventive）、檢測（Detective）和響應(yīng)（Retrospective）四個環(huán)節(jié)，如圖5所示。

在整個模型中，持續(xù)的監(jiān)控和分析成為了其核心所在：預(yù)測能力強調(diào)安全系統(tǒng)需要具備持續(xù)對業(yè)務(wù)系統(tǒng)進行監(jiān)控分析的能力，據(jù)此形成相應(yīng)的安全基線，主動對業(yè)務(wù)系統(tǒng)進行風(fēng)險評估以及威脅預(yù)測。

在“自適應(yīng)安全”模型的基礎(chǔ)上，可以對安全智能化、協(xié)同化實現(xiàn)的可能性進行分析，全局視圖可以從字面不難理解，資源池化上文也有簡單介紹，如圖6所示。這里詳細說下流量畫像和攻擊鏈。

流量畫像：同傳統(tǒng)架構(gòu)一樣，主機之間的東西向流量一定存在某種固定的特征，比如某個主機開放哪些端口、這些主機和端口的訪問客戶端是哪些主機、他們通常會在什么時間段進行什么樣的流量交互、流量大小又有什么樣的特征等，將這種特征稱之為流量畫像（行為基線）。那么如果某一時刻，實時流量和畫像描述的特征不符，那么這種“另類”的流量就很有可能是存在安全威脅的。

攻擊鏈：攻擊鏈?zhǔn)歉鶕?jù)攻擊者對目標(biāo)系統(tǒng)入侵的不同進展程度進行階段劃分，將各個階段串聯(lián)形成完整的攻擊過程的模型。對于攻擊鏈中的每一階段，都可以通過流量監(jiān)控或檢測提取出來的特征屬性，間接判斷出威脅攻擊的進展。比如在偵查探測階段，可以通過發(fā)現(xiàn)異常的端口訪問，或者在工具分發(fā)階段發(fā)現(xiàn)異常大小數(shù)據(jù)包等，更早的發(fā)現(xiàn)并預(yù)防威脅的發(fā)生。

由于攻擊者攻擊手段的隱蔽性，以及攻擊鏈模型中各階段的界定有一定的模糊性，單個階段難以評估目標(biāo)遭受入侵的嚴(yán)重程度，因此可以對各階段之間進行關(guān)聯(lián)分析。同時與流量畫像進行對比分析，發(fā)現(xiàn)可疑流量。

智能調(diào)度應(yīng)用在獲取所有的監(jiān)控流量信息后，根據(jù)實時的流控數(shù)據(jù)，繪制出流量畫像，并將其作為流量行為基線，對于線上流控數(shù)據(jù)，符合流量行為基線的流，判定正常后發(fā)行。反之，則進入安全審計流程，觸發(fā)實時的防護規(guī)則。安全資源池將防護結(jié)果反饋到智能調(diào)度應(yīng)用，然后根據(jù)這個結(jié)果不斷的調(diào)整其判斷的準(zhǔn)確性。當(dāng)然，考慮到誤報，這個過程必然會需要一定的人工參與。

對于煙草企業(yè)而言，還需要配置相應(yīng)的EDR終端和流量探針，這里的終端還應(yīng)包含攝像頭、打印機等“啞”終端設(shè)備，在終端層面實現(xiàn)異常行為流量的發(fā)現(xiàn)、定位和隔離阻斷，并將觸發(fā)策略的結(jié)果同樣反饋給人工智能應(yīng)用，這樣就可以實現(xiàn)更加精準(zhǔn)的流量畫像，有效降低內(nèi)部網(wǎng)絡(luò)風(fēng)險。未來，煙草行業(yè)“云”化節(jié)奏將會越來越快，步伐也將越來越大，而借“云”而上，必將為中國煙草帶來更廣闊的明天。

作者單位：仙桃市煙草專賣局